Snort的配置与使演示课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
二、Snort软件的下载
下载snort
http://www.snort.org 入侵检测的核心部分
下载winpcap或者libpcap
http://winpcap.polito.it/ http://www.tcpdump.org 网络数据包截取驱动程序,用于从网卡中抓取数据
包
辅助软件:
数 据 包
数 据 包 解 码 器
检 测 引 擎
日 志 报 警
2. Snort的工作模式(3种)
嗅探器 数据包记录器 网络入侵检测系统
4. Snort的工作模式(3种)
嗅探器——嗅探器模式仅仅是从网络上读取数据 包并作为连续不断的流显示在终端上。 ./snort –v ./snort –vd ./snort –vde
几点说明
1. 在snort中有一脚本create_mysql,用于建立 所有必要的表。
C:\mysql\bin>mysql –u root –p (Mysql>)create database snort; (Mysql>)quit (c:\mysql\bin>)Mysql –D snort –u root –p
数据包记录器——数据包记录器模式把数据包记 录到硬盘上。 ./snort –dev 源自文库l ./log
网络入侵检测系统——网络入侵检测模式是最复杂的, 而且是可配置的。用户可以让Snort分析网络数据流 以匹配用户定义的一些规则,并根据检测结果采取一 定的动作。
./snot –dev –l ./log –c snort.conf
$ChartLib_path=”C:\php\jpgraph\src”;
http://127.0.0.1:50080/acid/acid_db_setup.php
配置并启动snort
打开C:\snort\etc\snort.conf文件,将文件中的下列语句: include classification.config include reference.config
<C:\snort\contrib\create_mysql
为用户分配权限
(mysql>)grant usage on *.* to acid@loacalhost identified by “acidPwd”;
(mysql>)grant select,insert,update,delete,create,alter on snort.* to acid@localhost;
修改为绝对路径:
include C:\snort\etc\classfication.config include C:\snort\etc\reference. config
在该文件的最后加入下面语句: 目的:将日志记录到数据库中
output database: alert,mysql,host=localhost user=snort password=snortpwd dbname=snort encoding=hex detail=full
需要了解的Mysql命令:
显示数据库列表: show databases;
显示库中的数据表: use mysql; show tables;
建库与删库: create database 库名; drop database 库名;
激活和配置ACID
解压缩acid至apache安装目录的htdocs\acid目录下 修改\htdocs\acid下的acid_conf.php文件
/* Archive DB connection parameters */
$archive_dbname = "snort_archive"; $archive_host = "localhost"; $archive_port = "3306"; $archive_user = "acid"; $archive_password = "acidpwd";
入侵检测技术
第六章 Snort的配置与使用
本章内容
Snort的安装与配置 Snort的总体结构分析 Snort的使用 Snort的规则 使用Snort构建入侵检测系统实例
6.1 SNORT的安装与配置
3
一、Snort简介
snort 是一个用C语言编写的开放源代码的软件 Snort是一个跨平台的,轻量级的网络入侵软件,
Acid(Analysis Console for Intrusion Databases )
基于PHP的入侵检测数据库分析控制台
ADOdb(ADOdb Database Abstraction Library)
Adodb库为PHP提供了统一的数据库连接函数
Apache
Windows版本的Apache Web 服务器
基于libpcap的数据包嗅探器和日志记录工具 Snort采用基于规则的网络信息搜索机制,对数
据包进行内容的模式匹配,从中发现入侵和探 测行为。 Martin Roesch→ ……→Snort Team Snort 2.9.7.6
1. Snort的组成
数据包解码器 检测引擎 日志和报警子系统
DBlib_path = "C:\php\adodb";
$DBtype=”mysql”; $alert_dbname = "snort"; $alert_host = "localhost"; $alert_port = "3306"; $alert_user = "acid"; $alert_password = "acidpwd";
Jpgraph
PHP所用图形库
Mysql
Windows版本的Mysql数据库, 用于存储snrot的日志,报警,权限等信息
PHP
Windows中PHP脚本的支持环境
三、 Windows环境下Snort的安装
ACID+snort的入侵检测系统
1. 搭建apache+PHP的运行环境 2. 安装snort和Winpcap 3. 安装MySQL 4. 安装ADOdb 5. 安装Jpgraph 6. 安装和配置ACID 7. 配置和启动snort